Freigeben über

Azure Private Link in einem Hub-and-Spoke-Netzwerk

In diesem Artikel wird beschrieben, wie Sie Azure Private Link in einer Hub-and-Spoke-Netzwerktopologie verwenden. Die Zielgruppe umfasst Netzwerkarchitekten und Cloudlösungsarchitekten. In diesem Leitfaden wird beschrieben, wie Sie private Azure-Endpunkte verwenden, um auf die Plattform als Dienstressourcen (PaaS) privat zuzugreifen.

Dieser Leitfaden deckt nicht die Integration virtueller Netzwerke, von Dienstendpunkten und anderen Lösungen zum Verbinden von IaaS-Komponenten (Infrastructure-as-a-Service) mit Azure PaaS-Ressourcen ab. Weitere Informationen zu diesen Lösungen finden Sie unter Integrieren von Azure-Diensten in virtuelle Netzwerke zur Netzwerkisolation.

Azure-Hub-and-Spoke-Topologien

Sie können eine Hub-and-Spoke-Netzwerktopologie in Azure verwenden, um Kommunikationsdienste effizient zu verwalten und die Sicherheitsanforderungen im großen Maßstab zu erfüllen. Weitere Informationen finden Sie unter Hub-and-Spoke-Netzwerktopologie.

Eine Hub-and-Spoke-Architektur bietet die folgenden Vorteile:

  • Stellt einzelne Workloads zwischen zentralen IT-Teams und Arbeitsauslastungsteams bereit.
  • Spart Kosten durch Minimierung redundanter Ressourcen
  • Verwaltet Netzwerke effizient, indem Dienste zentralisiert werden, die mehrere Workloads gemeinsam nutzen
  • Überwindet Beschränkungen, die einem einzelnen Azure-Abonnement zugeordnet sind

Das folgende Diagramm zeigt eine typische Hub-and-Spoke-Topologie, die Sie in Azure bereitstellen können.

Architekturdiagramm, das ein virtuelles Hubnetzwerk und zwei Speichen zeigt. Eine Speichen ist ein lokales Netzwerk. Die andere ist ein virtuelles Landungszone-Netzwerk.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Diese Architektur ist eine von zwei Netzwerktopologieoptionen, die Azure unterstützt. Bei diesem klassischen Referenzentwurf werden grundlegende Netzwerkkomponenten wie Azure Virtual Network, Peering virtueller Netzwerke und benutzerdefinierte Routen (User-Defined Routes, UDRs) verwendet. Wenn Sie eine Hub-and-Spoke-Topologie verwenden, konfigurieren Sie die Dienste, und Sie müssen sicherstellen, dass das Netzwerk die Sicherheits- und Routinganforderungen erfüllt.

Azure Virtual WAN stellt eine Alternative für Bereitstellungen im großen Stil dar. Dieser Dienst verwendet einen vereinfachten Netzwerkentwurf. Virtual WAN reduziert den Konfigurationsaufwand für Routing und Sicherheit.

Private Link unterstützt verschiedene Optionen für herkömmliche Hub-and-Spoke-Netzwerke und Virtual WAN-Netzwerke.

Private Link bietet Zugriff auf Dienste über eine private Endpunkt-Netzwerkschnittstelle. Ein privater Endpunkt verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk. Sie können über diese private IP-Adresse auf verschiedene Dienste zugreifen:

  • Azure PaaS-Dienste
  • Von Azure gehostete kundeneigene Dienste
  • Von Azure gehostete Partnerdienste

Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst, auf den Sie zugreifen, wird über das Azure-Netzwerk-Backbone übertragen. Daraus folgt, dass Sie nicht mehr über einen öffentlichen Endpunkt auf den Dienst zugreifen. For more information, see Private Link.

Das folgende Diagramm zeigt, wie lokale Benutzer eine Verbindung mit einem virtuellen Netzwerk herstellen und private Verknüpfung für den Zugriff auf PaaS-Ressourcen verwenden.

Architekturdiagramm, das zeigt, wie Azure Private Link ein virtuelles Netzwerk mit PaaS-Ressourcen verbindet.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Sie können private Endpunkte entweder in einem Hub oder in einer Spoke bereitstellen. Einige Faktoren bestimmen, welcher Standort in der jeweiligen Situation am besten funktioniert. Berücksichtigen Sie die folgenden Faktoren, um die beste Konfiguration für Azure PaaS-Dienste und für kundeneigene und Partnerdienste zu ermitteln, die Azure hostet.

Ermitteln, ob Sie virtual WAN als Netzwerkkonnektivitätslösung verwenden

Wenn Sie Virtual WAN verwenden, können Sie nur private Endpunkte in virtuellen Spoke-Netzwerken bereitstellen, die Sie mit Ihrem virtuellen Hub verbinden. Sie können keine Ressourcen in Ihrem virtuellen oder sicheren Hub bereitstellen.

Weitere Informationen zum Integrieren privater Endpunkte in Ihr Netzwerk finden Sie in den folgenden Artikeln:

Ermitteln, ob Sie eine virtuelle Netzwerk-Appliance wie Azure Firewall verwenden

Datenverkehr zu privaten Endpunkten verwendet das Azure-Netzwerk-Backbone und ist verschlüsselt. Möglicherweise müssen Sie diesen Datenverkehr protokollieren oder filtern. Sie können auch den Datenverkehr analysieren, der zu privaten Endpunkten fließt, wenn Sie eine Firewall in den folgenden Bereichen verwenden:

  • Across spokes
  • Zwischen Ihrem Hub und den Spokes
  • Zwischen lokalen Komponenten und Ihren Azure-Netzwerken

Stellen Sie in diesem Fall private Endpunkte in Ihrem Hub in einem dedizierten Subnetz bereit. Dieses Setup bietet die folgenden Vorteile:

  • Vereinfacht die Konfiguration Ihrer SNAT-Regel (Secure Network Address Translation, sichere Netzwerkadressenübersetzung). Sie können eine einzelne SNAT-Regel in Ihrer virtuellen Netzwerk-Appliance (NVA) für den Datenverkehr zum dedizierten Subnetz erstellen, das Ihre privaten Endpunkte enthält. Sie können Datenverkehr an andere Anwendungen routen, ohne SNAT anzuwenden.

  • Vereinfacht die Konfiguration Ihrer Routingtabelle. Für Datenverkehr, der zu privaten Endpunkten fließt, können Sie eine Regel hinzufügen, um diesen Datenverkehr über Ihre NVA weiterzuleiten. Sie können diese Regel für alle Speichen, VPN-Gateways (Virtual Private Network) und Azure ExpressRoute-Gateways wiederverwenden.

  • Ermöglicht das Anwenden von Netzwerksicherheitsgruppenregeln für eingehenden Datenverkehr im Subnetz, das Sie einem privaten Endpunkt zuweisen. Diese Regeln filtern den Datenverkehr zu Ihren Ressourcen. Sie bieten einen zentralen Ort, um den Zugriff auf Ihre Ressourcen zu steuern.

  • Zentralisiert die Verwaltung privater Endpunkte. Wenn Sie alle privaten Endpunkte an einem zentralen Ort bereitstellen, können Sie sie effizienter in allen virtuellen Netzwerken und Abonnements verwalten.

Verwenden Sie diese Konfiguration, wenn alle Workloads Zugriff auf jede PaaS-Ressource benötigen, die private Verknüpfung schützt. Wenn Ihre Workloads auf unterschiedliche PaaS-Ressourcen zugreifen, stellen Sie keine privaten Endpunkte in einem dedizierten Subnetz bereit. Verbessern Sie stattdessen die Sicherheit, indem Sie das Prinzip der geringsten Rechte einhalten:

  • Platzieren Sie jeden privaten Endpunkt in einem separaten Subnetz.
  • Gewähren Sie nur Workloads, die eine geschützte Ressource verwenden, Zugriff auf diese Ressource.

Ermitteln, ob Sie einen privaten Endpunkt aus einem lokalen System verwenden

Wenn Sie planen, private Endpunkte für den Zugriff auf Ressourcen von einem lokalen System aus zu verwenden, stellen Sie die Endpunkte in Ihrem Hub bereit. Dieses Setup bietet die folgenden Vorteile:

  • Sie können Netzwerksicherheitsgruppen verwenden, um den Zugriff auf Ihre Ressourcen zu steuern.
  • Sie können Ihre privaten Endpunkte an einem zentralen Ort verwalten.

Wenn Sie den Zugriff auf Ressourcen aus Anwendungen planen, die Sie in Azure bereitstellen, gelten die folgenden Faktoren:

  • Wenn nur eine Anwendung Zugriff auf Ihre Ressourcen benötigt, stellen Sie einen privaten Endpunkt in der Sprachanwendung bereit.
  • Wenn mehr als eine Anwendung Zugriff auf Ihre Ressourcen benötigt, stellen Sie einen privaten Endpunkt in Ihrem Hub bereit.

Flowchart

Das folgende Flussdiagramm fasst Optionen und Empfehlungen zusammen. Jeder Kunde verfügt über eine einzigartige Umgebung. Berücksichtigen Sie daher die Anforderungen Ihres Systems, wenn Sie entscheiden, wo private Endpunkte platziert werden sollen.

Flussdiagramm, das Sie durch den Prozess der Entscheidung führt, ob private Verknüpfungen auf einer Speichen oder im Hub eines Hub-and-Spoke-Netzwerks platziert werden sollen.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Considerations

Die folgenden Faktoren können sich auf die Implementierung ihres privaten Endpunkts auswirken. Sie gelten für Azure PaaS-Dienste sowie kundeneigene Dienste und Partnerdienste, die von Azure gehostet werden.

Networking

Wenn Sie private Endpunkte in einem virtuellen Speichennetzwerk verwenden, enthält die Standardroutentabelle des Subnetzes eine /32 Route mit einem nächsten Hoptyp von InterfaceEndpoint.

  • Wenn Sie eine herkömmliche Hub-and-Spoke-Topologie verwenden, können Sie diese effektive Route auf Netzwerkschnittstellenebene Ihrer virtuellen Computer (VMs) anzeigen. Weitere Informationen finden Sie unter Diagnose eines VM-Routingproblems.

  • Wenn Sie virtuelles WAN verwenden, können Sie diese Route in den effektiven Routen des virtuellen Hubs anzeigen. Weitere Informationen finden Sie unter Anzeigen effektiver Routen eines virtuellen Hubs.

Die /32 Route wird in die folgenden Bereiche verteilt:

  • Jedes virtuelle Netzwerk-Peering, das Sie konfigurieren
  • Jede VPN- oder ExpressRoute-Verbindung mit einem lokalen System

Um den Zugriff von Ihrem Hub- oder lokalen System auf einen privaten Endpunkt einzuschränken, verwenden Sie eine Netzwerksicherheitsgruppe im Subnetz, in dem Sie den privaten Endpunkt bereitstellen. Konfigurieren Sie entsprechende Eingangsregeln.

Name resolution

Komponenten in Ihrem virtuellen Netzwerk ordnen jedem privaten Endpunkt eine private IP-Adresse zu. Diese Komponenten können diese private IP-Adresse nur auflösen, wenn Sie ein bestimmtes DNS-Setup (Domain Name System) verwenden. Wenn Sie eine benutzerdefinierte DNS-Lösung verwenden, verwenden Sie DNS-Zonengruppen. Integrieren Sie den privaten Endpunkt in eine zentrale private Azure-DNS-Zone, unabhängig davon, ob Sie Ressourcen in einem Hub oder einer Speichen bereitstellen. Verknüpfen Sie die private DNS-Zone mit allen virtuellen Netzwerken, die Ihren privaten Endpunkt-DNS-Namen auflösen müssen.

Bei diesem Ansatz können lokale und Azure DNS-Clients den Namen auflösen und auf die private IP-Adresse zugreifen. Eine Referenzimplementierung finden Sie unter Private Link und DNS-Integration im großen Stil.

Costs

  • Wenn Sie private Endpunkte über ein regionales virtuelles Netzwerk-Peering verwenden, gelten Peeringgebühren nicht für Datenverkehr zu und von privaten Endpunkten.

  • Peeringkosten gelten für anderen Infrastrukturressourcendatenverkehr, der über ein virtuelles Netzwerk-Peering fließt.

  • Wenn Sie private Endpunkte in verschiedenen Regionen bereitstellen, gelten private Linkraten und globale Peeringraten für eingehende und ausgehende Raten.

For more information, see Bandwidth pricing.

Contributors

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Principal author:

  • Jose Angel Fernandez Rodrigues | Senior-Spezialist GBB

Other contributor:

Um nicht-öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.

Next steps